如何在GKE kubernetes集群中調試ABAC到RBAC轉換?
[英]How to debug ABAC to RBAC transition in a GKE kubernetes cluster?
問題描述
GKE日志RBAC權限事件在哪里?
在具有kubernetes版本v1.6的Google容器引擎(GKE)群集上,默認情況下啟用RBAC授權。 顯然,ABAC也可以作為后備授權啟用,以便簡化現有集群到新授權方案的轉換。 這個想法是第一個RBAC嘗試授權一個動作。 如果失敗 ,應將其記錄在某處 ,然后咨詢ABAC以允許該操作。 這應該使群集管理員能夠在最終關閉ABAC之前檢查日志是否缺少RBAC權限。
我們有一些集群可以禁用GCP日志記錄/監控,而是使用自己的ELK堆棧。 為了確保我已經使用GCP的雲記錄和監控創建了一個測試集群,但仍然可以在任何地方找到任何RBAC事件。 測試pod是一個prometheus服務器,可以發現並抓取其他pod和節點。
2 個解決方案
解決方案1
8 已采納 2017-05-12 09:30:30
使這更全面。 從使用RBAC授權 :
當日志級別為2或更高(--v = 2)運行時,您可以在apiserver日志中看到RBAC拒絕(以RBAC DENY為前綴:)。
在GKE中,可以通過HTTP訪問apiservers日志,如:
kubectl proxy &
curl -s http://localhost:8001/logs/kube-apiserver.log
解決方案2
3 2017-05-11 15:07:18
RBAC拒絕將記錄到主apiserver日志中。
如何在使用Terraform啟動GKE集群時引導RBAC權限
[英]How to bootstrap RBAC privileges when bringing up a GKE cluster with Terraform
如何調試或分析 Kubernetes RBAC 規則動詞和 Api 組
[英]How to debug or analyze Kubernetes RBAC rule verbs and Api Groups
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.